5G网络中的隐私和数据安全 MichelaMenting,研究总监 CONTENTS 前面的岩石路 5G安全1 识别差距、风险、 and挑战5 供应商7 建设有效 以数据为中心的信任模型9 5G安全的崎岖之路 5G正在为连接开辟全新的机会。但是,随着新供应商和新技术的出现,隐私和数据安全问题将发挥关键作用利用5G功能。这种扩展,加上重大的架构变化,将制造高度复杂的网络,暴露新的漏洞和更大的风险。 目前,全球约有15%的MNO在30个国家推出了兼容3GPP的5G网络不同的国家,只有不到5%的国家在公共网络中部署了5GSA。ABIResearch预测,到2027年,平均5G采用率将达到56%。 5G网络的安全投资仍处于起步阶段。安全支出首当其冲主要由MNO负责,因为它们专注于保护网络的各个方面(例如,edge、RAN和core)。随着时间的推移,他们将利用这些投资来创造新的安全价值企业客户的主张,产生新的收入。他们最终将通过第三方提供商、网络安全供应商、超大规模运营商和其他供应商面向企业客户的安全解决方案。 ABIResearch预测,在2023年至2026年之间,5G网络安全总收入将翻一番,在这3年内从39亿美元增加到92亿美元(见图表1)。到那时,全球一半的运营商都采用了5G。 图表1:全球市场各地区5G网络安全总收入:2023年至2026年 4.810 3.358 2.277 2.172 2.045 1.643 1.935 1.262 1.404 .966 1.005 .701 .475 .110 .194 .312 2023 2024 2025 2026 6(来源:ABIResearch) 5 (十亿美元) 4 3 2 1 0 亚太地区、欧洲、中东和Africa北America拉丁美洲 集成安全功能在5G网络中至关重要。在标准化层面,第三代合作伙伴计划(3GPP)致力于确保安全性构成标准的核心部分。然而,这只是第一步。如何在实践中提供和实施这种安全将完全是另一回事。从网络设备提供商(NEP)和移动网络运营商(MNO)到软件开发人员,利益相关者可能需要克服重大挑战。参与构建这些网络的网络安全供应商。 NEP和MNO需要解决与用户身份验证,访问控制和数据保护相关的问题,以保护5G网络中的隐私。 NEP和MNO将承担许多责任,以解决与用户身份验证,访问控制和数据保护有关的问题;最终,所有利益相关者都需要利用安全技术来构建 零信任网络。无论是通过监视威胁、管理安全策略还是在信任的硬件根源,挑战将首先是在找到最适当的解决方案并成功部署它。 标准的第一步 因此,第一个要求是了解安全在标准化工作中的作用以及迄今为止的进展情况(见下文方框1)。 过去3GPP版本已经涵盖了应用程序编程接口(API),合法拦截,5G系统,邻近服务(ProSe),安全保证规范 (SCAS)的一些安全方面,认证和密钥管理,车辆到一切(V2X),网络自动化,边缘计算,网络切片,位置服务,安全保证方法(SECAM),用户隐私,工业和蜂窝物联网(CIoT和IIoT),基于服务的架构(SBA),通用地面无线接入网(UTRAN),机器类型通信(MTC),超可靠低延迟通信(URLLC)和无线局域网(其他) 5G安全标准的制定仍在进行中,其中大部分仍在进行中 在标准开发组织(SDO)中。主要由3GPP技术规范组服务和系统方面(TSGSA)在其关于安全和隐私的专门工作组(WG3)SA3中牵头,在各个版本15至17中分阶段交付要求和规范。版本18中正在进行安全工作(请参见下面的方框2)。 3GPP于2021年12月批准了Release18(Rel-18)软件包,标志着 5G-Advanced,该新版本的计划冻结日期为2023年12月。Rel-18的商业发布估计为2024/2025年左右。对于此版本,SA3的任务是: •通过无线电接入的标识符的隐私 •用于3GPP虚拟化网络产品和管理功能(MnF)的SECAM和SCAS •任务关键型安全增强第3阶段 •无线接入网(RAN)和SA特征的安全和隐私方面。 从广义上讲,SA3目前的任务是完成先前版本中已经开始的分阶段工作,以及为物联网(IoT)和垂直行业指定安全增强功能,并进行测试。新5G网络功能的安全性。 尽管3GPP发挥了关键作用,但3GPP并不是唯一致力于5G安全标准的SDO(见下面的方框3)。 3GPP由国际电信联盟标准化部门(ITU-T)SG17、欧洲电信标准协会(ETSI)行业规范组(ISG)移动接入边缘计算(MEC)加入,ISG网络功能虚拟化(NFV)和ISG零接触网络与服务管理(ZSM),电气和电子工程师协会(IEEE),下一代移动网络(NGMN)联盟,GSM协会(GSMA),欧盟网络安全机构(ENISA)和国家标准与技术研究所(NIST)。表1列出了相关SDO在各种5G应用中正在完成的安全工作。 在各个SDO的工作组中,单独解决的主题的广度(表1)证明了5G网络的复杂性,这与以前的蜂窝世代截然不同。利益相关者必须不仅要应对过渡期间正在迁移的4G固有的风险和漏洞通过5G非独立(NSA),但5G独立(SA)也将出现新的未知因素。 表1:SDO在5G应用安全方面的工作 (来源:ABIResearch) 应用程序 SDO General 3GPP、ENISA、GSMA、ITU-T、NIST 5G核心网络 3GPP,NGMN RAN 3GPP,NGMN 无线电接入 3GPP 网络基础设施 3GPP、ENISA、GSMA 网络切片 3GPP、ETSI、ITU-T、NGMN 软件定义网络(SDN) ENISA、IEEE、ITU-T NFV ETSI、IEEE、ITU-T MEC 3GPP、ITU-T、NGMN 互操作性 3GPP、GSMA 漫游 3GPP、ENISA、GSMA 用户设备(UE) IEEE 5G服务 3GPP,NGMN 安全控制 ENISA、ETSI、ITU-T、NGMN 欺诈 GSMA、NGMN 非公共网络 3GPP、ITU-T Other 3GPP、ENISA、GSMA、ITU-T 因此,在某些情况下,SDO提出的安全架构或技术在实践中可能根本不起作用。由于迁移仅处于初始阶段,并且实现5GSA还需要几年的时间,因此将是许多未来的事件,在这些事件中,建议中所载的理论无法得到现实的实施。 为3G/4G开发的许多安全技术不再适用。需要为5G中的数据安全设计新的方法和技术。 此外,还有安全技术的问题,这些技术已经开发用于3G/4G扩展到5G。许多都是为了解决那些前蜂窝世代特有的问题而实现的,但在新的网络架构中已经不再适用了。新的方法和不同的技术需要为5G中的数据安全而设计。 各种SDO在开发5G安全规范和标准方面所做的工作意义重大,但这只是第一步,并不能解决实施中的所有挑战。重要的是要记住,他们是自愿的,作为建议或最佳实践发布;他们无法确定一旦推出正在进行中,将来可能会出现什么安全挑战。这意味着利益相关者,无论是运营商,NEP,第三方供应商或客户,都需要保持开放头脑和灵活的关于他们如何满足标准要求和他们自己的要求,没有影响性能、延迟或安全性。 识别差距、风险和挑战 目前,许多传统的网络安全解决方案不适应蜂窝核心网络,更不用说5G了。网络安全厂商必须确保他们的技术可以在运营商级网络中实现,这些网络可以满足高性能和低延迟的所有5G要求。在将此类解决方案折叠到网络中之前,需要首先解决这些挑战 。在5GNSA的初始混合阶段,一些挑战将从4G转移过来,但新的威胁也在不断涌现,这也需要解决(表2)。 表2:5G网络中的威胁和漏洞 (来源:ABIResearch) CORE 5GNSA 信令攻击劫持中间人攻击配置攻击 饱和攻击渗透攻击拒绝服务(DoS)和分布式DoS(DDoS)切片 /资源盗窃 MEC 5GNSA 僵尸网络API暴露对共享硬件资源的攻击滥用容器权限提升 针对操作系统(OS)/容器隔离不良的攻击篡改软件不安全的内部接口不安全的传输协议 RAN 5GNSA 重置和Internet协议(IP)欺骗扫描攻击语义信息攻击信号干扰IMSI捕获攻击 非法拦截闪存流量假基站重播攻击 UE 5GNSA 用户身份盗用安全密钥盗窃恶意软件固件黑客设备篡改 间谍软件勒索软件电池消耗攻击识别违规 解决这些问题需要时间,标准化方面的一些挑战可能会加剧这些问题。第一个问题围绕着标准的性质。 像3GPP这样的SDO本质上是自愿的。它们通过大众市场采用被奉为标准,从而成为事实上的标准。但是没有监管要求来实施这些标准本身;利益相关者可以自由地做他们喜欢的事情。尽管如此,事实上的标准可以成为强制性的如果国家当局将其写入法律(因此成为法律上的标准)。国家也有可能 SDO决定偏离那些事实上的标准并发展自己的标准。通过这些方法中的任何一种,都有可能在应用中分叉。这是大众市场效应带来的压力但国家控制力强、国内市场大的国家可以选择走自己的路。 Further,withintheindustrystandardsthemselves,someofthesecurityspecificationsarearequirementforcertainstakeholders(e.g.,NEP),butnotforothers(e.g.,operator).Thismeansthattherearedifferentpacesof最终取决于运营商战略和推广的采用。 总体而言,对规范的理解可能因利益相关者而异,这会影响他们如何选择应用它们。运营商和NEP对标准实施有保守的看法,源于他们对市场的传统主义观点;即,它是关于规范的直接实施。他们通常高度抵制任何偏离3GPP建议的行为。 随着较新的供应商和其他第三方通过5G的推出进入蜂窝领域,他们的观点更多open.Theyview3GPPspecsforwhattheyare:recommendations.Theirintentistoimproveonthosewhere可能与其他技术,如果他们发现他们更好地适应。 5G是对一个更加开放、灵活和可编程的生态系统的重大变革,它正在打开基础设施的新利益相关者和新类型的用户。这意味着有很多未知Thetechnologywilleventuallybeusedand,therefore,therisksthatwillemerging.Italsomeansthatnewplayerswillbringnewideasandinnovationstotheforethatmayrequireadifferentapproachtohowsecurityisdefined在3GPP标准中。 除此之外,还有其他更广泛的挑战,这些挑战源于社会政治问题,这些问题反过来会对标准开发产生不利影响。在许多行业主导的SDO中,如3GPP,努力是多方面的-基于利益相关者的过程,需要长期参与,合作和组织。外部现象,例如贸易禁运和大流行,由于工作组无法像以前那样自由或频繁地开会,因此显着减缓了进展。因此,对于3GPP而言,一些安全工作停滞了 。许多不完整的内容 在版本17的冻结被关闭,并转移到版本18。版本18中关于安全功能的规范工作正在如预期的那样推进,但其他领域(如安全标识符(SID))的进展较慢。但是,过渡到面对面会议应有助于总体上加快标准化工作。 安全标准应该被视为一个开始,一个基线;但它绝不能是如何实现安全的全部。 关于标准的应用,标准化的世界并不那么明确。许多因素可以影响一致性。SDO本身非常清楚获得大众市场吸引力的重要性,因此,必须在推荐和处方之间找到一条细线。 最终,安全标准应该被视为一个开始,一个基线;但它不能是一个最终的,是所有的安全可以如何实现。在遇到缺点或限制的地方,依靠严格的 解释规范可能无济于事。利益相关者需要对如何减轻风险和解决问题保持